私たちはGoogle Cloudでプラットフォームをホストしています。これはスタートアップであり、非常にシンプルな構成です。
1 X Nginx | Web サーバーとして機能 | パブリック サブネット 1 x データベース サーバー | 内部サブネット
これは推奨される方法ではないと100%確信しています。従来のオンプレミスでは、Webサーバーを公開することはなく、常にファイアウォールの内側に置いていたからです。しかし、Webサーバーを保護するための選択肢が何なのか、困惑しています。
どなたか、以下の達成方法を教えていただけませんか
インターネット ユーザー <------> ファイアウォール (GCP でホスト) <-------> Nginx Web サーバー <------> DB。
これは資金のないスタートアップなので、低コスト/オープンソースのオプションをいくつか教えてください。
ありがとうAJ
答え1
デフォルトでは、実際に必要なポート数よりも多くのポートを開かない限り、VPC (ネットワーク) は Google Cloud ファイアウォールによってすでに保護されています。
まず、2つありますデフォルトと暗黙のルール、送信許可と受信拒否は上書きのみ可能で、削除はできません。
2つ目の重要な特徴は、ルールがステートフル承認された接続への応答がファイアウォール経由で許可されます。
もう一つの重要な要素は、ルールが許可か拒否かということです。ルールは単純にアクションとしてログに記録することはできません。ここでは、仕様。
ファイアウォールルールのチュートリアルといくつかの設定例がここにありますページ
あなたのケースについて考えると、次のような提案ができます:
1) WebサーバーとDBは同じVPC(内部ネットワーク)にあります
2) タグに添付されたファイアウォール ルール (例: http-server または https-server) を使用して、ポート 80 と 443 のいずれかまたは両方を許可します。
3) データベースを設定し、それに関連付けられている外部 IP を削除して保護を強化します。
4) Web サーバーのみがデータベースと通信でき、データベースのみが Web サーバーと通信できるタグを両方の VM に添付します。
5) 先を見据えて(そしてプロジェクトが成功することを願って)、もう少し投資すれば、HTTP(S) ロードバランサこれにより、さらに強力な保護(DDOS 緩和など)が提供され、複数の Web サーバーへの負荷が分散されます(冗長性と水平スケーリングが実現されます)。